什麼是 Azure NAT Gateway?
Azure NAT 閘道是完全受控且復原性高的網路位址轉譯 (NAT) 服務。 您可以使用 Azure NAT 閘道讓私人子網路中的所有執行個體連線到因特網,同時保持完全私人。 不允許透過 NAT 閘道從因特網進行未經請求的輸入連線。 只有以回應封包的形式抵達輸出連線的封包才能通過 NAT 閘道。
NAT 閘道提供動態 SNAT 連接埠功能,可自動調整輸出連線能力,並降低 SNAT 連接埠耗盡的風險。
圖:Azure NAT 閘道
Azure NAT 閘道為標準內部負載平衡器提供輸出連線:
私人子網路中的 Azure 虛擬機器或虛擬機器擴展集。
透過虛擬網路整合的 Azure App Services 執行個體 (Web 應用程式、REST API 和行動後端)。
Azure NAT 閘道優點
簡單設定
為了簡便起見,部署是刻意使用了 NAT 閘道。 將 NAT 閘道連結至子網路和公用 IP 位址,並開始立即連線到因特網的輸出。 不需要維護及路由設定。 稍後可以新增更多公用 IP 或子網路,而不會影響您現有的組態。
下列步驟是如何設定 NAT 閘道的範例:
建立非區域性或區域性 NAT 閘道。
指派公用 IP 位址或公用 IP 首碼。
設定要使用 NAT 閘道的虛擬網路子網路。
如有必要,請修改傳輸控制通訊協定 (TCP) 閑置逾時 (選擇性)。 在變更預設值之前,請先檢查計時器。
安全性
NAT 閘道是建置在零信任網路安全性模型之上,且預設為安全。 使用 NAT 閘道,子網路內的私人執行個體就不需要公用 IP 位址來連線到網際網路。 私人資源可以透過來源網路位址轉譯 (SNAT) 至 NAT 閘道的靜態公用 IP 位址或前置詞來連線虛擬網路外的外部來源。 您可以使用公用 IP 前置詞,為輸出連線提供連續的 IP 集合。 您可以根據此可預測 IP 清單來設定目的地防火牆規則。
復原
Azure NAT 閘道是一種完全受控的分散式服務。 其不會依賴個別的計算執行個體,例如 VM 或單一實體閘道裝置。 NAT 閘道一律有多個容錯網域並可承受多次失敗,而不會發生服務中斷。 軟體定義的網路讓 NAT 閘道具有高度復原性。
延展性
NAT 閘道會從建立時就進行了擴增。 不需要增強或擴增作業。 Azure 會為您管理 NAT 閘道的作業。
將 NAT 閘道連結至子網路,以提供該子網路中所有私有資源的輸出連線能力。 虛擬網路中的所有子網路都可以使用相同的 NAT 閘道資源。 輸出連線可透過將最多 16 個公用 IP 位址或 /28 大小的公用 IP 前置綴指派給 NAT 閘道,來相應放大。 當 NAT 閘道與公用 IP 前置詞建立關聯時,其會自動調整為輸出所需的 IP 位址數目。
效能
Azure NAT 閘道是一種軟體定義的網路連接服務。 每個 NAT 閘道最多可處理輸出和傳回流量的 50 Gbps 資料。
NAT 閘道不會影響計算資源的網路頻寬。 深入了解 NAT 閘道的效能。
Azure NAT 閘道基本知識
輸出連線
NAT 閘道是輸出連線能力的建議方法。
- 若要從預設輸出存取或負載平衡器輸出規則將輸出存取移轉至 NAT 閘道,請參閱將輸出存取移轉至 Azure NAT 閘道。
注意
在 2025 年 9 月 30 日,新部署的預設輸出存取將會淘汰。 建議改用明確的輸出連線形式,例如 NAT 閘道。
輸出是在具有 NAT 閘道的每個子網路層級定義的。 NAT 閘道會取代子網路的預設因特網目的地。
流量路由設定不需要使用 NAT 閘道。
NAT 閘道可讓您建立從虛擬網路到虛擬網路外部服務的流程。 只有在回應作用中流量時,才允許從網際網路傳回流量。 虛擬網路外部的服務無法透過 NAT 閘道起始輸入連線。
NAT 閘道優先於其他輸出連線方法,包括負載平衡器、執行個體層級公用 IP 位址和 Azure 防火牆。
當 NAT 閘道設定為虛擬網路,且其中已存在不同輸出連線方法,NAT 閘道會接管所有後續的輸出流量。 Azure Load Balancer 上限有連線的流量不會中斷。 所有新的連線都會使用 NAT 閘道。
NAT 閘道僅支援 TCP 和使用者數據報通訊協定 (UDP) 通訊協定。 不支持網際網路控制訊息通訊協定 (ICMP)。
流量路由
子網有系統 預設路由,可自動將目的地為0.0.0.0.0/0的流量路由 傳送至因特網。 將 NAT 閘道設定為子網之後,從子網中現有的虛擬機到因特網的通訊會優先使用 NAT 閘道的公用 IP。
當您在子網路由表中為0.0.0.0.0.0/0流量建立使用者定義的路由 (UDR),則會覆寫此流量的預設因特網路徑。 UDR,會將 0.0.0.0/0 流量傳送至虛擬設備或虛擬網路網關(VPN 閘道 和 ExpressRoute),做為下一個躍點類型,改為覆寫與因特網的 NAT 網關聯機。
輸出連線遵循不同路由和輸出連線方法之間的優先順序:
- UDR 至下一個>>躍點虛擬設備或虛擬網路網關 NAT 閘道>>>>虛擬機器負載平衡器輸出規則>>的預設系統路由至因特網的實例層級公用IP位址。
NAT 閘道設定
相同虛擬網路的多個子網路可以使用不同 NAT 閘道或相同 NAT 閘道。
多個 NAT 閘道無法連結至單一子網路。
NAT 閘道無法跨越多個虛擬網路。
NAT 閘道無法在閘道子網路中部署。
NAT 閘道資源最多可使用下列型別的 16 組 IP 位址:
公用 IP 位址。
公用 IP 前置詞。
若要深入了解衍生自自訂 IP 位址首碼 (BYOIP) 的功用 IP 位址和前置詞,請參閱自訂 IP 位址首碼 (BYOIP)。
NAT 閘道無法與 IPv6 共用 IP 位址或 IPv6 公用 IP 前置詞建立關聯。
NAT 閘道可以與使用輸出規則的負載平衡器搭配使用,以提供雙堆疊輸出連線能力。 請參閱使用 NAT 閘道和負載平衡器的雙堆疊輸出連線。
NAT 閘道可與任何虛擬機器網路介面或 IP 組態搭配運作。 NAT 閘道可以在網路介面上對多個 IP 組態執行 SNAT。
NAT 閘道可以與中樞虛擬網路中的 Azure 防火牆子網路相關聯,以及提供從輪輻虛擬網路對中樞進行對等連線的輸出連線能力。 若要深入了解,請參閱 Azure 防火牆與 NAT 閘道整合。
可用性區域
NAT 閘道可以在特定可用性區域中建立,或不放在任何區域中。
當您建立區域隔離案例時,可以將 NAT 閘道隔離在特定區域中。 此部署稱為區域性部署。 部署 NAT 閘道之後,就無法變更區域選取項目。
NAT 閘道預設不會放置於任何區域中。 Azure 會為您將無區域 NAT 閘道置於區域中。
NAT 閘道和基本資源
NAT 閘道與標準公用 IP 位址、公用 IP 前置詞資源或兩者的組合相容。
基本資源 (例如基本負載平衡器或基本公用 IP) 與 NAT 閘道不相容。 NAT 閘道無法與存在基本資源的子網路搭配使用。 基本負載平衡器和基本公用 IP 可以升級為標準版,以便與 NAT 閘道搭配使用。
如需瞭解將負載平衡器從基本升級為標準的詳細資訊,請參閱升級公用基本 Azure Load Balancer (英文)。
如需瞭解將公用 IP 從基本升級為標準的詳細資訊,請參閱升級公用 IP 位址 (英文)。
如需瞭解將連結至虛擬機器的基本公用 IP 從基本升級為標準的詳細資訊,請參閱升級連結至虛擬機器的基本公用 IP。
連線逾時和計時器
NAT 閘道會針對其無法辨識為現有連線的任何連線流程傳送 TCP 重設 (RST) 封包。 如果達到 NAT 閘道閒置逾時或先前已關閉連線,則此連線流不再存在。
當不存在的連線流程上的流量傳送者收到 NAT 閘道 TCP RST 封包時,就無法再使用連線。
在連線關閉之後,便無法重複使用 SNAT 連接埠連線至相同的目的地端點。 NAT 閘道需先將 SNAT 連接埠置於非經常性存取狀態,然後才能重複使用它們來連線到相同的目的地端點。
根據連線關閉的方式,SNAT 連接埠針對 TCP 流量重複使用 (非經常性存取) 計時器的持續時間會有所不同。 若要深入了解,請參閱連接埠重複使用計時器。
預設 TCP 會使用 4 分鐘的閒置逾時,且最多可增加到 120 分鐘。 流量上的任何活動也都可以重設閒置計時器,包括 TCP Keepalive。 若要深入瞭解,請參閱閒置逾時計時器。
UDP 流量的閒置逾時計時器為 4 分鐘,無法變更。
UDP 流量的連接埠重復使用計時器為 65 秒,在連接埠可供相同目的地端點重複使用之前,該連接埠會處於按住狀態。
價格和服務等級協定 (SLA)
如需 Azure NAT 閘道的定價,請參閱 NAT 閘道定價。
如需 SLA 的相關資訊,請參閱 Azure NAT 閘道的 SLA。
下一步
如需瞭解建立及驗證 NAT 閘道的詳細資訊,請參閱快速入門:使用 Azure 入口網站建立 NAT 閘道 (英文)。
若要檢視 Azure NAT 閘道的詳細資訊影片,請參閱如何使用 Azure NAT 閘道取得更佳的輸出連線能力。
如需瞭解 NAT 閘道資源的詳細資訊,請參閱 NAT 閘道資源。
在下列課程模組中深入瞭解 Azure NAT 閘道:
若要深入了解 Azure NAT 閘道的架構選項,請參閱 Azure NAT 閘道的 Azure Well-Architected Framework 檢閱。